Storm_Center

　　同事的电脑上中的这种病毒，通过U盘传播，在中毒电脑上插入U盘，就会生成autorun.inf文件，同时生成以两个点为名称的特殊文件夹，而且似乎只感染U盘中的EXE文件，一旦被感染的U盘中的程序被运行，就在其插入的电脑上生成病毒服务及其文件scsi4dos.sys，卡巴斯基或可牛命名其为Trojan.Win32.Scar.thl。

　　使用U盘中毒，桌面多出IE和淘宝网的图标，右击只显示”打开主页“和创建快捷方式”选项，无法删除，双击则打开www.51595.com网页，系统搜索功能不能用；使用360修复系统并清理注册表后恢复正常，但重启又回到原样。

 　　Windows的任务栏在注册表中的位置是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop下的“TaskbarWinXP”，其值是一大堆二进制数据……

 　　开机自动弹出http://go.dhsite.info/tan.php，然后转到一个游戏网页，此时系统提示加载svcc.vbs失败，此svcc.vbs位于临时文件夹temp中。估计这个vbs文件是被杀毒软件或其它安全机制限制了，否则就不止一个开机自动弹出网页的问题，据网上查到的信息，还有劫持IE主页和一些正常的网站的访问、在桌面生成垃圾图标等。

　　论坛求助内容：在游讯网下载游戏安装后中招，IE主页被www.7f7f.com劫持，桌面多出一个IE图标，等等。清除参考方案如下……

　　也是论坛求助帖，中毒现象是不时地自动弹出网页，还生成桌面图标，经过杀马查毒及修复清理桌面后，就剩下自动弹出网页没解决掉。经过检查其扫描的SREng日志，启动项中已无可疑对象，估计此前的查杀差不多已经把它们干掉了，不过在任务计划项中发现大量已启用状态的”任务“。

　　看到论坛一求助，现象：开机自动打开三九医疗网，并在桌面上生成两个IE图标：“让性爱更美好了”、“成人网站”，IE主页也被劫持，打开IE也是该网站，使用360查杀未果。

　　上午接到一同事电话说她的电脑出现问题：开机时出现“jetspeed.dll”无法加载，word和excel打不开，上不了网但内网却可以连上等。

　　此木马通过在组策略中设置windows登录脚本启动对，从开始－运行－gpedit.msc，打开组策略－用户配置－windows设置－脚本（登录/注销）－登录，在“登录”的窗口中可能看到以下几个文件：如notepa.bat、yici.bat、sys.bat等，通过这些bat批处理文件调用donw.vbs、shijian.vbs等脚本文件。

　　昨天对一台电脑随意地检查时，在360的“全面诊断”中出现3个可疑的服务项，服务名和相应的文件名我就不说了，都是随机字母的组合而成的，然后使用360安全卫士的修复功能修复，但仍不能消除它们，下次扫描还是出现。